Accès Internet sécurisé en entreprise

[CaSa]

Bonjour,

J'aurais besoin de beaucoup d'idées, même en vrac je tri après

Je devrais bientôt équiper 4 ou 5 de mes sites en ADSL pour remplacer un réseau numéris (qui sert à du transfert de données, de la télémaintenance) par un VPN ADSL "maison".
Qui dit ADSL, dit Internet. Le problème, c'est que je n'ai pas l'envie ni la capacité (vu que je suis seul) de me retrouver demain avec une vingtaine de postes supplémentaires connectés au net sans sécurité accrue, sans protection, avec des utilisateurs pas forcément attentifs, etc... tout cela sur des systèmes Windows (XP/2000) en production.

En fait, je voudrais donc une idée me permettant de donner un accès au net sur chaque poste, sans que ça puisse compromettre le poste lui-même.
Je n'envisage pas non plus de dédoublage de poste, ni à priori de "poste à part" pour le net, ni même de "poste supplémentaire" car sur certains sites il n'y a plus de place. Il faudrait de la cohabitation et de l'intégration.

J'ai commencé à penser à quelquechose comme installer VirtualPC ou Vmware sur chaque poste, avec une mini-distribution Linux (ou autre mais libre de licence dans la mesure du possible) et une sortie sur une IP à part configurée pour le net. Un "système dans le système" qui serait donc à l'abris de toute fausse manip... L'inconnue étant que je ne sais pas si on peut combiner les deux système souplement dans un environnement de travail, imprimer, gérer au mieux les ressources, etc...

Peut-être aussi une connexion passive (genre terminal serveur), mais ça nécessiterait donc un serveur de connexion.

Avez-vous des idées, des schémas de config sur la question ?
Ou une autre idée sur comment sécuriser un accès internet d'entreprise de manière à ce qu'on ait quasiment pas à le surveiller.. ?

Merci

[CaSa]

Il n'y a pas d'amateur d'installation tordue ?

... bon, j'en suis à tester des distributions Linux légères (Xubuntu, ou Debian+Xfce) dans un système virtuel à l'aide de Vmware.
Ma foi, ça tourne pour ce qu'on peut en faire : en prenant 170 M0 de RAM au système (20 vmware + 150 Linux) on a qqchose qui permet quand même d'avoir un navigateur internet, de la vidéo, du mail, du msn, etc... tout ça en 1024x768, pour une charge RAM effective de 80-100 MO en moyenne.
Quelques lags d'affichage, mais c'est trés largement utilisable pour un accès d'entreprise (pas forcément professionnel et même ludique).
Et surtout : complètement détaché de la "vraie" machine, du "vrai" réseau... donc normalement pas de risque de virus/crash disque/foutoir irrécupérable.

Je suis quand même ouvert à toute idée alternative... moi aussi j'aime recevoir des conseils

[blankoworld]

Bonjour,

Comme je l'ai dit sur le protocole Jabber, il serait intéressant de mettre en place un serveur Linux. Evidemment il faut connaître bien plus que la simple installation d'un logiciel de paravirtualisation, et donc il faudrait au moins savoir mettre une machine Linux en zone démilitarisée, machine qui ferait à la fois pare feu et proxy (proxy c'est pour accélérer la navigation internet à l'aide d'un cache, mais aussi créer des listes blanches ou listes noires de sites internet selon des mots clés voire en fonction d'un autre serveur proposant des services de contrôles d'accès).
Il en résulte une autre gestion du parc informatique selon moi (qu'en dis tu Gael, n'est ce pas toi le spécialiste réseau d'entreprise ?, comment te débrouilles tu ?).

Et tout comme je l'ai dit, ceci est la partie théorique, je n'ai pas eu l'occasion de mettre en pratique l'installation d'un serveur Linux avec pare feu, antivirus et proxy, mais semble t il des distributions entières existent pour ça.

J'avais entendu parlé de IPCOP, Coyote Linux, et SME Server.

Aurox avait aussi une version Pare feu, mais je ne la retrouve plus.

[CaSa]

Moui... dans le cas précis cette solution ne me plait pas pour beaucoup de raisons :
- il faut mettre une machine dédiée à cela sur le site => problème de place, de coût d'investissement (même si je pourrais recycler quelques vieux PC que j'ai), de maintenance (si elle tombe en panne, si elle plante... il faut surveiller/intervenir)
- il faut gérer l'installation et le paramétrage : proxy, restrictions, pare-feu, antivirus etc... => c'est pas rien à faire, il faut du boulot en amont, des tests...
- la machine ne sert QUE de passerelle, tout le traffic arrive quand même sur les différents PC => risque de virus si l'AV ne fait pas son boulot, risque de paquets non-voulus si le pare-feu ne fait pas son boulot, interférences d'éventuels programmes non-désirés et installés sur les PC (bétises en tout genre, codecs vidéos, P2P, etc... les utilisateurs pourraient se croire "à la maison")
- tout cela en place, il faut quand même une surveillance étroite : des postes, des serveurs proxy => surcharge de travail trés importante (4 ou 5 serveurs, 15 postes ou plus) qui n'empêche pas le risque élevé.

C'est une bonne architecture si on a une utilisation différente du net et si c'est sur un site géré et surveillé. Mais ce ne sera pas mon cas.

Donc il me faut résolument une solution beaucoup plus sécure et "non gérée" que cela.

Mais je note l'idée pour ailleurs

ps : c'est fou ce qu'on peut faire avec 80-100 MO de ram sur vmware... dire qu'il en faut 10 fois plus sous Vista rhooo, je blague vous fachez pas